HDDとSSDのデータを独自技術で完全に消去
地方公共団体が求めるセキュリティ対策を網羅

「Blancco Drive Eraser」ブランコ・ジャパン

総務省では、地方公共団体における情報セキュリティ対策の推進のため、ガイドラインの整備、情報セキュリティ監査、地方公共団体間の情報共有の促進などの取り組みを行っている。その始まりが、2001年3月に策定された「地方公共団体における情報セキュリティポリシーに関するガイドライン」だ。データ消去ソフトウェアを提供するブランコ・ジャパンに、2020年12月28日に公表された最新のガイドラインを基に、地方公共団体に求められるセキュリティ対策について解説してもらった。

簡易的な消去がインシデントの要因
情報漏えいのリスクも増加

ブランコ・ジャパン
松永倫明氏

 2019年12月、神奈川県庁においてリース契約満了で返却したファイルサーバーのHDDが盗難に遭い、行政データが流出してしまうインシデントが発生した。情報漏えいの一つの要因として、返却したHDD内にデータが残存していたことが挙げられている。これを受け、総務省による「地方公共団体における情報セキュリティポリシーに関するガイドライン」の見直しが行われた。

 インシデントリスクを低減させるには、IT機器の廃棄時に確実なデータ消去を行う必要がある。データを消去すると言うと、データをPC上のごみ箱に捨て、「ごみ箱を空にする」やHDDを初期化(フォーマット)するといった簡易な消去をしてデータの消去が完了したと考えるケースが多い。

 そうした簡易な消去の方法に情報漏えいのリスクが潜んでいるとブランコ・ジャパン パートナーセールス事業部 松永倫明氏は話す。「ファイルの削除や初期化を行うだけではデータを完全に消去したとは言い切れません。実際にはHDD内にデータが残っており、復元ソフトウェアを利用すれば簡単にデータを復元できてしまいます。また、データ消去を外部で実施するケースもありますが、業務委託先で盗難に遭い、データが流出してしまうといったリスクが生じてしまいます」

地方公共団体における情報セキュリティを強化
監査性の高いデータ消去管理を実現

 こうしたリスクへの対策として2020年12月28日、総務省は地方公共団体における情報セキュリティポリシーに関するガイドラインで、庁舎内にて情報の復元が困難な状態までデータを消去するという確証性の高いIT機器の消去管理を要請した。併せて、SSDに対する消去についても留意を促している。この確証性の高い消去レポートの発行や、SSDの消去要件を達成するのが、ブランコ・ジャパンのデータ消去ソフトウェア「Blancco Drive Eraser」だ。

 Blancco Drive Eraserは、HDDの全領域に対して上書き処理を行い、あらゆるデータを復元不可能な状態にする。米国国立標準技術研究所(NIST)方式をはじめとする消去方式に対応し、その消去の確実性は、15以上の政府機関や第三者機関から製品の認定・認証・推奨を取得しているため、安全性も保証されている。また、日本は海外と比べて物理破壊や消磁を採用している場合も多いが、SSDにおける物理破壊は2mm角四方の粉砕でなければ全領域のデータを消去できない。ソフトウェアによる上書きをすることで確実にデータの消去が可能になるのだ。

 また、「Blancco Drive Eraserは、SSDの消去にも対応します。NISTの消去プロセスに準じたPurge(除去)やClear(消去)はもちろん、独自開発した方式『Blancco SSD Erasure Method』(特許No.9286231)も利用可能です。SSDの消去方法はHDDとは異なり、DoDやNSAといった消去方式では消去が行えません。SSD専用のデータ消去方式を用いることが重要です」と松永氏はアピールする。

 加えて、Blancco Drive Eraserの消去レポートには、不正ができない仕組みが設けられている。データの消去完了後、消去が適切に実行された確証を記した消去レポートが出力される。その消去レポートには、改ざん防止のために電子署名が施されているのだ。レポートの内容は「消去日時」「消去方式」「消去結果」だけではなく、対象機器のインベントリ情報も記録し、安全性を確保できる。「電子署名付きのレポートにより、外部委託によるオンサイトデータ消去も可能になります。外部委託はリスクと捉えられる場合もありますが、Blanccoの消去レポートであれば、改ざん防止が施されているため、外部委託者が消去を行った場合でも確証性を保てます。監査性の高い消去レポートを管理することで、リスクを排除しながら運用できます」(松永氏)

データ消去の需要をアピール
販売パートナー向けに勉強会を開催

 PCを利用していれば、その資産償却の際にデータの消去は必ず必要とされる工程だ。Blancco Drive Eraserの独自に開発された消去技術や消去レポートの機能は、地方公共団体に対して大きなアピールポイントになる。

 また同社では、データ消去レポートの一元管理および傾向分析が行えるツール「Blancco Management Console」も用意している。Blancco Management Consoleにより、自組織内でデータ消去管理が達成できるようになる。

 Blancco Management Consoleは、IT資産管理ツールとのAPI連携に対応し、資産管理と消去管理を一元化することも可能だ。廃棄IT資産からのデータの情報漏えいを防ぎながら、データ消去のプロセスを自動化し、リモートで管理が行える。データ消去に必要なコストや時間を大幅に削減し、改ざんのできない消去レポートを収集、消去を管理することでコンプライアンスも徹底できる。

 最後に松永氏は「日本は海外に比べて、データ消去に対する知識や関心が薄い部分があります。今後は、ダイワボウ情報システム(DIS)さまとともに、販売パートナーさまに向けてWebセミナーや勉強会などの営業支援を実施しますので気軽にご相談ください。IT機器の廃棄時における情報漏えいのリスクやBlancco Drive Eraserの魅力を広め、地方公共団体さまに向けて製品を訴求していきます」と意気込みを語った。